auditoría de configuración de Ids / ips [cerrado]

2

¿Alguien está familiarizado con una herramienta que pueda auditar la configuración de una herramienta de detección de intrusión / prevención de intrusión? Estoy buscando una herramienta que pueda verificar las mejores prácticas y las configuraciones no estándar. He buscado en Google en casi todo y solo se me ocurren libros blancos.

    
pregunta user2219930 24.10.2016 - 17:54
fuente

2 respuestas

1

¿Funciona? IPS e IDS son configuraciones muy específicas. Además, el comportamiento general de cada proveedor es diferente. Algunos se abren, otros se cierran y otros simplemente fallan.

La mejor forma de auditar es:

  1. Identifique qué activos / recursos están protegidos por ((IP | ID) S).
  2. Documentar las configuraciones actuales. (Debe saber exactamente qué políticas se aplican a cada activo / recurso protegido). Literalmente, mapear los activos / recursos a la política.
  3. Determine qué herramientas y pruebas deben ejecutarse contra los recursos / recursos.
  4. Ejecuta los conjuntos e interpreta los resultados.
  5. Sintoniza el dispositivo según sea necesario.
  6. Date cuenta de que obtendrás resultados falsos (negativos | positivos).
  7. Comprenda que la aplicación es el lugar correcto para corregir vulnerabilidades.
  8. Repita 3-7 hasta que el índice de confianza sea alto o esté completamente disparado.
  9. Si el índice de confianza se ha disparado por completo o si no quiere tener todo este peso sobre sus hombros y una rampa masiva, consiga expertos en el problema.
respondido por el mtidaho 24.10.2016 - 21:21
fuente
0

Quien sea el proveedor del sistema IDS / IPS debe proporcionar una guía documentada sobre cómo instalar, configurar y mantener el sistema para maximizar la seguridad que proporciona. Entonces debería poder auditar la configuración actual y el proceso de administración con esa documentación y, para el mantenimiento, verificar que la versión del sistema y los archivos de firmas en uso sean compatibles y estén actualizados.

Si lo anterior está en su lugar, debería poder detectar y / o prevenir intrusiones y tráfico malicioso. Luego puede ajustar el sistema para filtrar el ruido y configurar las prioridades de las alertas y decidir sobre sus procesos de respuesta, investigación y escalamiento.

    
respondido por el AndyMac 24.10.2016 - 21:45
fuente

Lea otras preguntas en las etiquetas